1. 首先將系統的自動還原功能關閉

[...重新開機進入安全模式...]

2. 此病毒有可能將系統的隱藏檔功能封鎖,病毒本身檔案是隱藏檔,因此必須打開系統隱藏檔顯示功能。
2.1. 開始->執行->regedit 開啟登錄檔修改器
2.2. 找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\
\Folder\Hidden\SHOWALL]
2.3. 找到Checkedvalue參數,將參數值設定為1

3. 將病毒從啟動程式中移除
3.1. 重複步驟2.1
3.2 找到 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
以及[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
3.3 將名稱或內容含有kavo或kava的啟動程式全部刪除。
如:kavo.exe
如:kava"=C:\WINDOWS\system32\kavo.exe
3.4 刪除以下的資料與值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"B058B02A-AC93-4FBA-900B-FA44D9B92805"=C:\WINDOWS\fly32.dll


如果上述值找不到或者沒有這些值,直接跟著執行下面步驟,

4. 接著真正要刪除病毒檔案,此病毒會自動建立以下檔案,我們手動刪除
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kav0.dll
C:\WINDOWS\system32\kav1.dll
(你可以用檔案總管搜尋[磁碟機C]中的檔案kavo.*)
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf (看你有幾個磁區,根目錄底下的autorun.inf全部刪除)

C:\ntdelect.com (看你有幾個磁區,根目錄底下的ntdelect.com全部刪除)
(P.S 注意:是小寫的ntdelect.com不是大寫的NTDETECT.COM,刪錯會有嚴重後果)

5. 恭喜你,清除病毒。
 但是別高興太早,趕快更新你的防毒軟體病毒碼以及版本,完整清除瀏覽器的暫存檔案及cookie,接著連上微軟網站執行系統更新,將修補漏洞程式安裝起來。然後再次使用防毒軟體執行一次完整的掃描看看。

-------kavo病毒的資料-------
1. 傳輸途徑:
a. USB隨身碟,利用隨身碟中的autorun.inf檔案進行傳播動作。
b. 好友的MSN所傳來的不明連結

2. 中毒跡象:
a. 無法看見系統隱藏檔案及資料夾,且無法更改開啟顯示隱藏檔案及資料夾的功能
b. 開啟資料夾選項會另外開啟新視窗
c. 無法正常開啟磁碟機C,D.....
d. 出現kavo.exe錯誤的警告框

billtang0311 發表在 痞客邦 PIXNET 留言(0) 人氣()